VMware修复vCenter服务器中的RCE漏洞

VMware已为vCenter服务器产品发布了补丁，解决因使用易受攻击的第三方组件而引发的一个远程代码执行漏洞。

本月初，CERT/CC告知用户称来自Code White公司的资深渗透测试人员Markus Wulftange在Adobe最新版本的AMF3的多个Java实现中发现了三个潜在的严重反序列化漏洞。这些漏洞可被用来发动DoS攻击、执行远程代码并获取敏感信息。受影响的软件包括Apache的Flex BlazeDS、Atlassian的JIRA、Exadel的Flamingo、GraniteDS、Spring spring-flex和WebORB for Java。

其中一个BlazeDS漏洞CVE-2017-5641影响VMware vCenter服务器，它使用BlazeDS处理AMF3信息。VMware在安全公告中指出，这个问题出现在CEIP功能中。如果消费者已退出CEIP，这个漏洞还是会存在。这个漏洞影响vCenter 服务器6.0和6.5版本，而版本5.5或其它VMware产品并未受影响。VMware建议用户应用6.5c和6.0U3b补丁解决这个漏洞问题。

CERT/CC指出，这些反序列化漏洞还影响HPE和SonicWall产品。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。